Las Brechas o Incidencias de seguridad en Centros educativos

El educativo es uno de los sectores que más brechas o incidencias de seguridad sufre. Desde el email enviado por error a varios destinatarios sin ponerlos en copia oculta, hasta delitos informáticos por parte de profesionales o incluso alumnos. Son numerosas las casuísticas, sobre todo ahora, que nos encontramos inmersos en un enorme proceso de digitalización.

Lo primero que debemos tener en cuenta es, ¿qué es una brecha o incidencia de seguridad?

El Reglamento General de Protección de Datos (en adelante, RGPD) define las “brechas de datos personales” como “todas aquellas violaciones de seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. Sin embargo, no tienen la consideración de brecha de seguridad de datos personales aquellas que no afecten a datos de personas físicas identificadas o identificables o que ocurran en tratamientos llevados a cabo por una persona física en el ámbito doméstico.

En definitiva, no todos los incidentes de seguridad son necesariamente brechas de seguridad de datos personales, pero no solo los incidentes informáticos suponen una brecha de seguridad, siendo también cualquier otro tipo de incidencias, siempre que supongan la destrucción o pérdida de información o el acceso no autorizado a la misma.

Centrándonos en el sector educativo, algunos ejemplos de brechas o incidencias de seguridad más comunes son los siguientes:

Robo o pérdida de dispositivos informáticos que contengan datos de carácter personal descargados en local, o sin cifrar, y el equipo tampoco lo está.
Virus vía correo electrónico, o hackeo de dispositivos informáticos.
Eliminación de archivos o carpetas que contengan datos de carácter personal por error sin existir copia de seguridad de los mismos.
Envío de correo electrónico a varios destinatarios sin poner sus direcciones de correo electrónico en copia oculta, quedando visibles para el resto de destinatarios.
Envío de documentación errónea, o a destinatario erróneo, sin cifrar el documento.
Difusión de imágenes sin consentimiento, por error.
Cesión de datos a terceros sin consentimiento, por desconocimiento.

Atendiendo a lo anterior, ¿qué tipos de brechas o incidencias de seguridad existen?

Analizando cada uno de los ejemplos anteriormente expuestos, podemos observar que existen diferentes tipos de brechas o incidencias de seguridad de datos personales. Estos son:

Confidencialidad. Consiste en el acceso no autorizado o con propósito no legítimo a los datos de carácter personal.
Integridad. En este caso, los datos de carácter personal sufren manipulaciones o alteraciones que producen un perjuicio.
Disponibilidad. El ejemplo más claro es la inexistencia de copias de seguridad que permitan recuperar archivos o carpetas eliminadas por error.

La siguiente pregunta es, ¿qué hacer si detectamos una brecha o incidencia de seguridad?

En el caso concreto del sector educativo, la Ley Orgánica de Protección de Datos personales y Garantía de los Derechos digitales (en adelante, LOPDGDD) establece la obligatoriedad para los Centros educativos de nombrar un Delegado de Protección de Datos (en adelante, DPD).

Por tanto, el primer paso ante la detección de una brecha o incidencia de seguridad es la comunicación inmediata al DPD de la entidad. Y, a partir de ese momento, el DPD inicia un proceso que consta de los siguientes pasos:

1. Detección de la brecha o incidencia de seguridad.

Para la detección de una brecha o incidencia de seguridad, como asesores o Delegados de Protección de Datos de una entidad, debemos tener en cuenta la formación como principal herramienta para concienciar a todo el personal que trabaja en un Centro educativo. De esta manera enseñamos a detectar lo que puede suponer una brecha o incidencia de seguridad y así, actuar con mayor rapidez y diligencia.

2. Comunicación de la brecha o incidencia de seguridad de datos personales al DPD.

Tenga o no el Centro educativo claro si la brecha o incidencia afecta a la seguridad de los datos de carácter personal, el Responsable de seguridad del Centro debe comunicarlo inmediatamente al DPD. Esto se debe a la obligatoriedad recogida en el RGPD que tiene el Responsable del tratamiento de los datos de comunicar la brecha o incidencia de seguridad a la Autoridad de Control en un plazo máximo de 72h desde el momento de detección de la misma.

3. Investigación conjunta DPD – Centro educativo para recabar toda información posible.

Habiendo ya comunicado el Centro la existencia de una brecha o incidencia de seguridad al DPD, se inicia un proceso de investigación conjunto para conocer los detalles de la misma, entre los cuales se encuentran:

Fecha en la que se produjo la brecha o incidencia de seguridad; exacta o aproximada.
Fecha en la que se detectó la brecha o incidencia de seguridad
Tipo de incidencia y descripción de la misma.
Tratamientos que pudieran verse afectados por la brecha o incidencia de seguridad.
Categorías y número de interesados afectados por la brecha o incidencia de seguridad.
Consecuencias que pudiera producir la brecha o incidencia de seguridad.

4. Valoración de la brecha o incidencia de datos personales.

Tras recabar toda la información posible, el DPD procederá a hacer una valoración de la brecha o incidencia de seguridad y de toda la información recabada, para así determinar si se trata de una brecha o incidencia de seguridad de datos personales o no. Para llevar a cabo dicha valoración, el DPD debe tener en cuenta las siguientes cuestiones:

Gravedad de la vulneración.
Posible/s causa/s de la vulneración.
Tratamientos afectados por la violación de seguridad.
Categoría y número de interesados afectados por la violación de seguridad.
Medidas de seguridad que cabe corregir o implementar.
Alcance de la vulneración y el perjuicio que pudiera ocasionarse a los interesados.
Identificación de los encargados del tratamiento involucrados en la brecha de seguridad.
Identificación de posibles corresponsables y otros responsables a quienes se deba o convenga comunicar la violación de seguridad.

5. Registro de la brecha o incidencia de datos personales.

Se concluya o no, tras la valoración de la brecha o incidencia de seguridad, que la incidencia tiene carácter de brecha de seguridad de datos personales, tal y como recoge el RGPD el Responsable tiene la obligación de registrar y documentar cualquier vulneración.

6. Notificación a la autoridad de control: ¿es necesario notificar la brecha o incidencia de seguridad a la autoridad de control (Agencia Española de Protección de datos)?

Ahora bien, tras la valoración por parte del DPD de la brecha o incidencia de seguridad, el RGPD en su artículo 33 determina que, debe notificarse cualquier violación de seguridad siempre que:

La brecha de seguridad afecte a alguno de los tratamientos de datos que el Responsable esté llevando a cabo;
La brecha de seguridad conlleve un riesgo para los interesados afectados por los tratamientos de datos.

Si se cumplen estos requisitos, la violación de seguridad debe notificarse a la Autoridad de Control sin dilación indebida, es decir, lo antes que sea posible y a más tardar 72 horas después de que el Centro educativo haya tenido constancia de ella. Si no puede realizarse en el plazo de 72 horas deberá expresarse los motivos por los que no se presentó en plazo.

7. Notificación a los interesados. ¿Es necesario notificar a los interesados?

Del mismo modo, el RGPD en su artículo 34, establece que el Responsable debe comunicar a los titulares de los datos personales la existencia de una violación de seguridad, siempre que:

Dicha brecha de seguridad afecte a alguno de los tratamientos de datos que el Centro educativo lleve a cabo en relación con los datos de dichos interesados;
Y además, dicha violación conlleve un alto riesgo para los interesados afectados por los tratamientos de datos.

Por lo tanto, para que sea obligatoria la comunicación a los interesados la violación de seguridad, es preciso que exista probabilidad de que el riesgo que se derive para ellos sea alto.

Tampoco será necesario enviar la comunicación a los interesados si:

Los datos personales afectados por la brecha de seguridad han sido objeto de medidas de protección que los hagan ininteligibles para cualquier persona no autorizada.
El Responsable ha adoptado medidas ulteriores que garantizan que se ha eliminado la probabilidad de que se materialice el alto riesgo para los interesados afectados.
Supone un esfuerzo desproporcionado para el Responsable. En este caso, se sustituirá la comunicación individual por una comunicación pública colectiva o medida similar.

8. Cierre de la brecha o incidencia de seguridad.

Finalmente, y tras materializarse las acciones anteriormente descritas en función de si afecta a la seguridad de datos personales o no, se procede al cierre de la misma. Sin embargo, se ha de tener en cuenta que si es necesaria notificación a la Autoridad de Control, ésta no se producirá hasta que ésta confirme que no ha lugar a emprender acción adicional.

Y finalmente, ¿cómo podemos evitar una brecha o incidencia de seguridad?

Responder a esta pregunta es ciertamente complejo, pues ninguna medida de seguridad es infalible y nos garantiza que no vayamos a sufrir una brecha o incidencia de seguridad.

En el caso concreto de los Centros educativos, algunas de las medidas de seguridad más recomendables son los siguientes:

Cifrado de todos los dispositivos o equipos informáticos en los que se traten datos de carácter personal, y cambio de contraseñas con cierta frecuencia.
Eliminación de archivos descargados en el equipo, procurando siempre orientar el trabajo en nube o cifrando archivos.
Eliminación de fotografías captadas con teléfonos móviles propiedad del personal del centro en las que pudieran aparecer alumnos del Centro en el desarrollo de actividades.
Medidas de seguridad técnicas que impidan la entrada de virus vía correo electrónico.
Implementación de un procedimiento de copias de seguridad de los dispositivos informáticos, para evitar la pérdida de información en caso de un fallo técnico y materialización de una brecha o incidencia de disponibilidad.
Formar a los trabajadores y recordarles que, en todo correo electrónico enviado a varios destinatarios, deben poner sus direcciones de correo electrónico en copia oculta.
Asimismo, en caso de envío de documentación adjunta en un correo electrónico, deben proceder al cifrado previo del documento adjunto.

Éstas son solo algunas de las medidas de seguridad que se proponen para, aunque no evitar al 100% una brecha o incidencia de seguridad de datos personales, sí minimizar el riesgo de que ésta se materialice, o que cause el menor impacto posible en la privacidad de las personas.

Queda claro que, aunque pongamos todos los medios para evitar sufrir una brecha o incidencia de seguridad, siempre existen agentes externos o errores humanos que pueden ocasionar grandes trastornos en la privacidad de los interesados, pero lo importante según la normativa vigente y las autoridades de control, es que el Responsable sea proactivo y procure poner todos los medios que estén a su alcance para evitar que éstas ocurran.

LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

LegalToday

Por y para profesionales del Derecho

El interventor del Estado ve una «generalizada» falta de justificación de contratos en Campus de la Justicia

El presidente del CGPJ no se opone al voto telemático para próximas elecciones a las salas de gobiernos de tribunales

El presidente del CGPJ afirma que los jueces decanos son “el mejor ejemplo de la justicia de proximidad”

El Ejecutivo destina 160 millones de euros a las comunidades autónomas para luchar contra la violencia de género

Aranzadi Exprés: Los Estados pueden aumentar las categorías de deudas no exonerables; declarada nula la reforma de los aranceles de procuradores

El Supremo reconoce el derecho de los herederos de los dependientes fallecidos sin recibir la ayuda a que les sean devueltos los gastos adelantados

El TS reconoce el derecho de un paciente de enfermedad rara de los ojos a recibir medicamento que le denegó Servicio Extremeño Salud

Ideología y constitucionalización francesa del aborto

Financiación verde en el sector inmobiliario ¿está muy verde? (y II)

La inspección de Hacienda puede precintar cajas de seguridad de personas físicas en bancos sin autorización judicial

Legal Design Thinking, una innovadora metodología en la resolución de problemas

Las empresas aplauden la Ley UE de IA: “impone importantes obligaciones, pero promueve la innovación y las mismas reglas del juego para todos”

La inteligencia artificial abre un mundo de posibilidades para optimizar recursos, pero su implantación debe ser segura

Inteligencia artificial, derecho y hecho

Negocios en el mercosur: Brasil simplifica el registro de las sociedades extranjeras aplicando Inteligencia Artificial

Tres apps verdaderamente útiles para despachos

La presentación de ponentes en un evento

¿Influencers en la promoción de servicios jurídicos?

Criterios para elegir un buen nombre de domino del despacho

Implicaciones regulatorias de la innovación emergente (CES 2024)

Tribuna EJE&CON: La cobertura del riesgo derivado de las Declaraciones y Garantías en la operaciones de M&A

Aspectos clave a considerar en tu IRPF de 2023. Principales novedades

Apuntes para la implementación de la imposición global mínima en España

El derecho de los mayores a la autonomía y a los cuidados en la Unión Europea

La condena de Jim Mahoney

Las Brechas o Incidencias de seguridad en Centros educativos

Giraldo Medina, Natalia

RECOMENDAMOS

Blog

Te recomiendo